隨著多核和支持虛擬機管理程序的移動 SoC 的出現，1 類 PDA 和軟件定義無線電 （SDR） 等軍用移動設備現在可以跟上最新的商業移動軟件計劃（如 Google Android）的步伐，同時降低成本并滿足最嚴格的安全要求。除了硬件進步之外，軟件技術和體系結構還實現了這一目標，這些技術和體系結構包括使用多個獨立安全級別 （MILS） 分離內核及其高保證分區策略的分層虛擬化方法。

處理分類數據的通信設備通常采用標準的紅黑分離，其中紅側處理器負責加密功能，黑側處理器負責通信堆棧和驅動程序。在出口上，源自紅色端的機密信息被加密，并通過某種互連發送到黑端進行傳輸。在入口時，黑側驅動程序接收的信息通過互連進行解密和任何其他紅側處理，例如防護和身份驗證。此常規體系結構如圖 1 所示。

圖1：通信設備紅黑架構

請注意，邏輯紅側加密組件可能包括附加的專用硬件設備，例如 FPGA，用于加密算法執行、密鑰存儲和物理冗余。

在 Type-1 認證期間，在加密邊界內運行的任何軟件都受到國家安全局 （NSA） 的嚴格審查。這自然對紅邊軟件提出了嚴格的保證要求和復雜性限制。

軟件定義無線電

現在，讓我們以軟件定義無線電（SDR）為例，更詳細地看一下紅黑架構。更具體地說，讓我們考慮采用軟件通信架構（SCA）的設備，SCA是用于開發SDR的開放框架。SCA 提供標準化的 API，用于管理波形和其他無線電相關資源。SCA 位于符合 SCA 的操作系統之上。在 SDR 中，SCA 可用于紅色和黑色兩側。黑色面通常包括管理無線電通信所需的組件，包括波形本身。因此，實時操作系統（RTOS）通常是必不可少的。

紅色的一面可能較少使用 SCA 的功能。至少將包括 SCA 標準化的消息傳遞和組件管理功能。然而，值得注意的是紅方在管理明文方面的作用。人機界面（HCI）組件，如鍵盤驅動程序、語音編解碼器和觸摸屏管理軟件，將包含在紅邊處理中。例如，手持無線電操作員可能會說出語音數據，這些數據必須由紅邊收集以進行加密處理，然后才能發送到黑邊進行傳輸。

與任何 Type-1 通信設備一樣，最小化紅色邊的認證相關軟件內容是 SDR 開發人員和認證機構的戰略目標。由于其實時和安全關鍵要求，可信的RTOS是自然而然的選擇。圖 2 顯示了主要的紅側和黑側 SDR 組件的示例架構。

圖2：SDR 紅黑架構示例

進入安卓

雖然模擬語音無線電具有相對簡單的HCI，但智能手機和多用途數字語音/數據無線電只是可能包含更復雜的HCI的兩個設備示例。Android已迅速成為消費電子產品中最受歡迎的HCI框架之一。然而，Android是基于Linux構建的，Linux是一個整體式操作系統，不符合高保證認證要求，不適合低延遲、硬實時任務。

為了將Android整合到軍事通信設備的紅邊HCI中，而不將其整個數百萬行的源代碼庫帶入加密邊界，一個明顯的選擇是合并第二個專用于Android的應用處理器。然而，增加第二個處理器會增加占用空間、功耗、生產成本和系統復雜性。這在資源受限的設備（例如電池供電的無線電）中尤其成問題。

當它們使用輔助紅側處理器合并時，通用操作系統通常僅用于非機密通信。分類通信需要自定義 HCI 接口，以實現敏感數據和命令的完整性和可用性的高度保證。

當然，圣杯是在不犧牲實時性能、危及安全性或增加認證開銷的情況下將 Android 整合到原始的紅色處理器中。此外，我們希望將 Android 用于分類和非分類界面，使作戰人員能夠充分實現 Android 豐富的生產力優勢。使用一種特殊形式的系統虛擬化（稱為多獨立安全級別 （MILS） 虛擬化）可以實現此目標。MILS 虛擬化需要一個 MILS 分離內核。

MILS 分離內核

MILS 是一種基于高保證組件概念以及這些組件之間嚴格隔離和控制信息流的安全架構。在最低級別，MILS 策略由分離內核強制執行，分離內核是一種專用 RTOS，旨在滿足最高級別的保證，同時為托管通用和安全關鍵型應用程序提供強大的環境。

軟件安全保證的評估是使用信息技術安全產品評估的國際標準：通用標準（ISO/IEC 15408）進行的。通用標準評估保證級別 （EAL） 范圍為 1 到 7。大多數通用產品（如 Windows、Linux、VMware、Web 服務器、防火墻等）都經過 4 級或更低級別的認證。6+ 級對應于高保證。2008年，Green Hills Software的INTEGRITY分離內核成為第一個獲得高保證通用標準認證的軟件技術。此級別的保證必備條件包括許多嚴格的開發過程控制、安全策略的正式數學證明以及具有完全源代碼訪問權限的 NSA 滲透測試。相同的RTOS技術廣泛用于NSA Type-1認證的通信設備。

EAL6+代表了美國政府將“高穩健性”映射到通用準則。高健壯性是通信設備在高威脅環境中管理高價值信息時建議的安全級別。如果信息值或威脅環境較低，則中等健壯性 （EAL 4） 解決方案可能就足夠了。

MILS 虛擬化

如前所述，MILS 分離內核的強大之處在于它能夠實現安全關鍵型應用程序與通用應用程序的共存。在某些情況下，這些通用子系統是完整的“來賓”操作系統，在 MILS 分離內核控制的虛擬機中運行。與傳統的虛擬機管理程序不同，分離內核可以托管本機應用程序和來賓。分離內核嚴格的資源調度和保護機制確保虛擬機及其組成應用程序不會影響關鍵應用程序的執行。

分離內核是唯一在處理器最高特權模式下運行的軟件。系統虛擬化的機制取決于處理器的特定硬件功能。現代嵌入式處理器越來越多地采用硬件虛擬化加速技術，使虛擬機管理盡可能簡單高效。

分離內核可以根據需要在 Android HCI 和其他紅側應用程序之間提供嚴格控制的進程間通信 （IPC） 路徑。例如，源自 Android 網絡子系統的互聯網協議數據可以通過 IPC 管道傳輸到加密子系統進行加密和傳輸。MILS 虛擬化概念在 SDR 示例中的應用如圖 3 所示。

圖3：MILS 虛擬化 SDR 架構

然而，使用Android管理機密通信的困難仍然存在。例如，考慮使用Android觸摸屏小部件的作戰人員輸入敏感命令“立即將所有加密密鑰歸零”。任務成功與否可能取決于命令信息是否通過 Android 正確傳遞到加密組件。然而，Android的低保證使得無法做出必要的完整性和可用性保證。

同樣，MILS 虛擬化提供了一個解決方案。在 MILS 虛擬化架構中，物理圖形設備由運行在 MILS 分離內核上的受信任應用程序獨占控制;Android 只能訪問虛擬化設備。因此，當通過 Android 和虛擬化界面輸入命令時，受信任的應用程序可以檢查該命令。只有當作戰人員確信 Android 忠實地傳達了他/她的意圖時，才會發出命令。此驗證階段提供了從作戰人員到高保證組件的 MILS 強制實施的可信路徑;Android完全脫離了循環。

多域 MILS 虛擬化

一些軍事通信設備（如無線電、智能手機和網絡接口卡）必須管理不同機密級別的信息。默認策略要求不同級別的信息保持物理隔離。通常，這是通過以下兩種方式之一完成的。一種方法是要求冷重啟，其中可寫硬件資源歸零，以便在安全級別之間安全地切換設備。這種做法不僅對用戶不友好，而且重新啟動可能會延遲通信并影響任務效率。第二種方法是為每個安全級別包含一個獨立的紅側處理器，并且只需要人機接口設備（例如，顯示器或鍵盤）的安全開關。同樣，額外的處理元件將增加器件的占地面積、生產成本和系統復雜性。

MILS 虛擬化也解決了多域問題。任何所需子系統的單獨實例（包括虛擬機和 SCA 框架）都可以由 MILS 分離內核嚴格隔離和調度。此外，分離內核托管本機應用程序的能力可以解決共享人機接口設備問題：受信任的多級安全 （MLS） HCI 應用程序可以直接在分離內核上運行，根據 MLS 組件直接捕獲的用戶派生焦點輸入多路復用多域 I/O。SDR 的多域 MILS 虛擬化架構如圖 4 所示。

圖4：多域 MILS 虛擬化

雖然圖 3 和圖 4 中描述的架構可以使用單核處理器實現，但多核嵌入式處理器的出現可以使它們更加實用。如這些示例所示，復雜的紅側處理包括許多組件，其中許多組件可以在多核感知分離內核的監督下在多個內核上并發執行。這種額外的馬力可為虛擬機提供良好的性能，同時確保關鍵應用程序的實時行為。

軍事“機器人”

最新的多媒體軟件包（如 Android）的豐富功能現在可以集成到要求最苛刻的實時、安全的軍事通信設備中，而不會增加硬件占用空間、成本或認證負擔。關鍵創新是 MILS 虛擬化，它利用資源管理功能、本機應用程序環境和可信分離內核的保證譜系以及現代虛擬機管理程序技術來有效地整合通用和關鍵子系統。

審核編輯：郭婷